Carbanak si fa beffe delle banche – Una gang di hacker mette a segno la più grande cyber-rapina di tutti i tempi

18/01/2017

Si inserivano nelle videocamere, osservavano i monitor degli impiegati di banca e facevano in modo che i bancomat erogassero denaro a comando. Con questo sistema la gang Carbanak è riuscita a sottrarre quasi un miliardo di dollari a un centinaio di banche e operatori finanziari in tutto il mondo, Svizzera compresa.

Verso la fine del 2013 un bancomat di Kiev cominciò a erogare una montagna di banconote in diverse ore del giorno senza che nessuno avesse inserito una carta o premuto dei tasti. Le immagini della videocamera di sorveglianza mostravano che ogni volta al bancomat c’era qualcuno – apparentemente per caso – che prelevava le banconote erogate. Un’organizzazione di cyber-criminali cinesi, russi ed europei ha sottratto così a un centinaio di banche in tutto il mondo quasi un miliardo di dollari nell’arco di almeno due anni. Una somma strabiliante, mai raggiunta prima. Ma come avviene un furto digitale di questo tipo? Con una sofisticata strategia, basata su una combinazione di efficiente organizzazione, specializzazione, know-how in materia di hacking, pazienza e sfrontatezza, spiega la ditta di sicurezza informatica, Kaspersky Lab:

1° passo: infiltrarsi
Gli hacker hanno scelto un punto debole, apparentemente innocuo, da cui infiltrarsi: i computer degli impiegati con account di amministratore, che generalmente non dispongono di sistemi di sicurezza particolarmente efficaci e spesso sono connessi a Internet. Poi hanno inviato e-mail con allegati nocivi a indirizzi che ritenevano essere di impiegati. Non appena l’allegato, per esempio un documento di word infetto, veniva aperto, il malware si installava automaticamente, aprendo ai criminali una backdoor di accesso alla rete della banca. Dato che gli hacker avevano preso in considerazione solo i computer con account di amministratore, come danno collaterale sono stati infettati centinaia di PC di altri collaboratori.

2° passo: andare in esplorazione
Da questi computer di scarso interesse i criminali hanno cautamente – e a quanto pare durante un lungo arco di tempo – cominciato a studiare gli obiettivi. Hanno monitorato gli impiegati attraverso gli schermi, le battute sulla tastiera, addirittura tramite le videocamere installate nelle banche.
Nel corso di questa «ricognizione» gli hacker sono riusciti a individuare diverse debolezze del sistema. Questo modus operandi è il marchio dell’hacker professionista, perché l’osservazione e la valutazione del comportamento degli impiegati richiede una certa dose di specializzazione. Le informazioni raccolte erano sufficienti a identificare altri punti deboli nei processi e in altri sistemi IT. Secondo Kaspersky la fase di esplorazione può essere durata da due a quattro mesi.
Grazie al lavoro di esplorazione gli hacker hanno scoperto la via per entrare nel sistema della banca: attraverso i PC delle postazioni di lavoro degli impiegati tramite i quali venivano gestiti i trasferimenti di denaro e attraverso i bancomat connessi alla rete. Avendo osservato attentamente il comportamento dei collaboratori della banca, gli hacker sono stati in grado di emularlo e di usare impropriamente e a proprio vantaggio i sistemi delle banche.

3° passo: imitare il comportamento degli impiegati
Una volta appresa la routine dei collaboratori, gli hacker sono stati in grado di imitarne il comportamento. I criminali hanno quindi riprogrammato i bancomat in modo che ad un orario preciso erogassero denaro. Un complice doveva restare in attesa vicino al bancomat in questione, ritirare il denaro e trasferirlo sui conti di Carbanak.
La banca doveva avere l’impressione che il bancomat si mettesse arbitrariamente ad erogare banconote che venivano intascate da passanti occasionali.
Gli hacker hanno anche trasferito denaro da conti privati della banca ai propri conti in tutto il mondo. Per nascondere le proprie tracce in alcuni casi i criminali hanno maggiorato il saldo del conto della vittima di un importo pari a quello sottratto e trasferito sui propri conti. In questo modo nel riepilogo dei movimenti del conto del cliente l’importo rubato compariva, ma visto che il saldo del conto restava invariato, il rischio che il furto venisse scoperto era inferiore. Gli hacker sapevano che la banca verifica i conti in media ogni dieci ore e che le vittime, grazie alla manipolazione della situazione dei conti, non si sarebbero insospettite subito. Ai criminali restava così tempo a sufficienza per trasferire il denaro sul proprio conto senza essere scoperti.
Mappa degli obiettivi di Carbanak

La gang Carbanak, diversamente da altri cyberrapinatori, non è andata a colpire singoli punti deboli del sistema per appropriarsi di quanto più possibile. Al contrario, si è mossa con metodo, pazienza, cura, attenzione e tattica. La gang ha attaccato l’obiettivo da una posizione impensata, ha dedicato molto tempo alla ricognizione per identificare punti d’attacco insoliti, ha riflettuto su come sfruttare la situazione e su come dissanguare lentamente i conti, modulando con precisione l’entità dei furti. In generale ha attribuito grande importanza alla segretezza e alla sicurezza operativa. È così che Carbanak è riuscita a colpire piattaforme diver se. E ha apparentemente lavorato suddivisa in team internazionali con competenze diverse e complementari. L’azienda Kaspersky, sulla base dell’esperienza accumulata con le banche sue clienti, ha pubblicato delle indicazioni per riconoscere un attacco hacker del tipo condotto da Carbanak: file con estensione .bin in una directory di Mozilla, un file svchost.exe in una insolita sottodirectory di Windows, servizi di Windows con estensione .sys, che imitano un servizio di Windows senza estensione .sys. Queste le specifiche tecniche. Ma il vero pericolo non viene da questi file. Ai criminali poco importava quali programmi fossero in uso presso le banche. In ultima analisi gli hacker sfruttavano le vulnerabilità del software solo per calarsi nel ruolo di un impiegato della banca e poter così eseguire delle transazioni senza farsi riconoscere.
Il vero colpo di genio della banda Carbanak, ciò che la rende così pericolosa, è che se vengono chiuse delle falle, gli hacker non devono far altro che cercarne una nuova e il gioco dell’imitazione ricomincia. I furti sono terminati solo a causa dei complici incaricati di raccogliere le banconote ai bancomat che avevano suscitato dei sospetti con il proprio comportamento. Dei mandanti e del denaro invece non c’è a tutt’oggi nessuna traccia.
Benvenuti nell’era digitale. Adesso i rapinatori di banche non fanno più il loro ingresso all’improvviso, con volto celato dal passamontagna, agitando la pistola sotto il naso del cassiere e facendosi riempire i sacchi di denaro, per poi darsi alla fuga in auto. Sono finiti i tempi delle rapine alla «Bonnie e Clyde» di hollywoodiana memoria. Oggi le rapine alle banche avvengono nel silenzio. Dalla rapina alla cyber-rapina. La gang Carbanak ha mostrato come si fa, quasi come nel celebre film «Ocean’s Eleven».

Le cinque più clamorose rapine di tutti i tempi:

Banca centrale irachena
Bottino: 1 miliardo di dollari
18 marzo 2003, Bagdad, Iraq.
La sera prima che il paese venisse bombardato, l’allora dittatore iracheno Saddam Hussein mandò il figlio Qusay alla Banca Centrale con pieni poteri di prelevare tutto il denaro contante. In una fulminea azione segreta, durata cinque ore, Qusay e i suoi aiutanti caricarono i pacchi di denaro a bordo di camion per poi dirigersi verso il palazzo presidenziale. La più grande rapina della storia fu sostanzialmente il più grosso prelevamento di denaro contante mai avvenuto. Del denaro trafugato 650 milioni furono in seguito ritrovati nascosti nei muri del palazzo. Degli altri 350 milioni a tutt’oggi non si sa nulla.

Centro di Londra
Bottino: 292 milioni di sterline
2 maggio 1990, Londra, Inghilterra.
In una via secondaria del centro di Londra il fattorino 58enne John Goddard viene ucciso a coltellate da uno sconosciuto. L’assassino puntava alla valigetta di Goddard contenente 301 obbligazioni al portatore della Bank of England, ciascuna del valore di un milione di sterline, che il fattorino trasportava per conto dell’agenzia d’intermediazione per cui lavorava. Questo tipo di titoli è paragonabile al denaro contante, in quanto di proprietà del portatore. Successivamente la polizia londinese e l’FBI riuscirono a identificare un gruppo di sospettati. Tutti i partecipanti alla rapina furono arrestati. Il principale sospettato non fece in tempo ad essere arrestato, perché venne ucciso con arma da fuoco da uno sconosciuto poco prima dell’arresto.

Museo Gardner
Bottino: 300 milioni di dollari
18 marzo 1990, Boston, USA.
Due falsi poliziotti pretesero di entrare nel museo per una segnalazione d’allarme. Gli inesperti custodi obbedirono e furono immediatamente sopraffatti, ammanettati e rinchiusi in cantina. Dopo aver disattivato i sistemi di allarme, i delinquenti negli 81 minuti successivi selezionarono indisturbati dodici dipinti con i quali si dettero alla fuga. Si stima che il valore complessivo delle opere d’arte trafugate si aggiri come minimo intorno ai 500 milioni di dollari. Nonostante l’offerta di una ricompensa di cinque milioni di dollari, i colpevoli restano a tutt’oggi sconosciuti e anche dei dipinti non c’è traccia.

Dar Es Salaam Bank
Bottino: 282 milioni di dollari
12 luglio 2007, Bagdad, Iraq.
Al momento di prendere servizio al mattino gli impiegati della banca si accorsero che le porte erano aperte e il caveau vuoto. Mancavano all’appello 282 milioni di dollari. A tutt’oggi non è chiaro come mai la banca privata avesse in cassaforte tanto denaro e si ignora anche chi possa aver ordinato la rapina. Si sospetta il coinvolgimento del personale di sorveglianza in collegamento con la polizia e l’esercito. Appare strano inoltre che la rapina abbia avuto ben poca risonanza nei media e che anche le autorità statunitensi abbiano mantenuto un quasi assoluto riserbo. Infine del bottino milionario non si è più trovata traccia.

Aeroporto di Schiphol
Bottino: 118 milioni di dollari
25 febbraio 2005, Amsterdam, Olanda.
Due uomini travestiti da collaboratori della società aerea KLM con un furgone rubato fermarono un blindato KLM che trasportava una ingente fornitura di diamanti destinata ad Anversa. In presenza di testimoni i rapinatori sfoderarono le armi, si impossessarono del blindato e sparirono senza farsi riconoscere. L’assalto fu sicuramente favorito dalle insufficienti misure di sicurezza dell’aeroporto di Schiphol. Tre mesi dopo la polizia arrestò uno dei collaboratori dell’aeroporto.